KR20220032788A - Method And System for Providing Cyber Attack Simulation - Google Patents
Method And System for Providing Cyber Attack Simulation Download PDFInfo
- Publication number
- KR20220032788A KR20220032788A KR1020200114537A KR20200114537A KR20220032788A KR 20220032788 A KR20220032788 A KR 20220032788A KR 1020200114537 A KR1020200114537 A KR 1020200114537A KR 20200114537 A KR20200114537 A KR 20200114537A KR 20220032788 A KR20220032788 A KR 20220032788A
- Authority
- KR
- South Korea
- Prior art keywords
- attack
- agent
- target
- server
- information
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
본 발명의 일 실시예는 사이버 공격 시뮬레이션 제공 방법 및 시스템에 관한 것이다. One embodiment of the present invention relates to a method and system for providing a cyber attack simulation.
이하에 기술되는 내용은 단순히 본 실시예와 관련되는 배경 정보만을 제공할 뿐 종래기술을 구성하는 것이 아니다.The content described below merely provides background information related to the present embodiment and does not constitute the prior art.
최근 들어, 해킹으로 인한 데이터 침해 및 산업기술 유출 사고가 끊임없이 발생하고 있다. 지난 5년 동안 금융, 제조, 호텔, 공공, 유통, IT, 국방, 보안 분야에서 해킹과 데이터 침해 사고가 지속적으로 발생하고 있다. IBM과 포네몬 연구소의 최근 보고서에 따르면, 국내 기업들은 데이터 유출로 인해 기업들 평균 약 31억 원의 금전적인 피해를 본 것으로 나타났다. 산업기술보호협회에서 조사한 중소기업 기술보호 실태조사에 따르면 중소기업의 최근 3년간 산업기술 유출 피해액이 총 3,021억원에 달한 것으로 나타났다. Recently, data breaches and industrial technology leaks due to hacking are constantly occurring. Over the past five years, hacking and data breaches have occurred continuously in the fields of finance, manufacturing, hotel, public, distribution, IT, defense, and security. According to a recent report by IBM and Ponemon Research Institute, domestic companies suffered an average of about 3.1 billion won in financial damage due to data breaches. According to a survey on technology protection of SMEs conducted by the Industrial Technology Protection Association, the damage amount of industrial technology leakage by SMEs in the past three years totaled 302.1 billion won.
Cybersecurity Ventures의 사이버범죄 연차보고서에 따르면, 2021년까지 사이버공격을 통해 발생할 글로벌 경제 피해가 6조 달러에 달할 것으로 전망되고 있으며, 사이버공격으로 인해 발생할 수 있는 유무형 피해를 총망라한 비용으로 집계되고 있다.According to Cybersecurity Ventures' annual report on cybercrime, the global economic damage caused by cyberattacks is expected to reach $6 trillion by 2021, and it is counted as the total cost of tangible and intangible damage that can occur from cyberattacks.
해킹이 많아지고 피해가 심각해질수록 보안 기술은 빠르게 발전하고 있으나, 사이버 공격에 대응하기 위해 공격이 진행되는 시점에 이를 탐지하고 차단하기 위한 방어 기술들 영역에만 고도화되고 있다.As the number of hacks increases and the damage becomes more serious, the security technology is rapidly developing, but in order to respond to a cyber attack, it is being advanced only in the area of defense technologies to detect and block it at the time an attack is in progress.
사이버 공격 시뮬레이션(BAS: Breach and Attack Simulation) 기술은 2017년에 ‘Threat-Facing Technologies’의 하이프 사이클에서 BAS 기술을 혁신 촉발(Innovation Trigger) 단계에 배치하고 향후 5~10년 이내에 생산성 안정 단계 (Plateau)에 도달할 것으로 예측하였다. 이에 따라 현재는 해당 분야의 선도 기업들이 솔루션을 개발하여 시장을 구축하고 있다.Breach and Attack Simulation (BAS) technology put BAS technology in the innovation trigger stage in the hype cycle of 'Threat-Facing Technologies' in 2017, and the productivity stabilization stage (Plateau) within the next 5-10 years. ) was predicted to be reached. Accordingly, leading companies in the field are currently developing solutions and building the market.
최근 RSA 컨퍼런스에서 실시한 서베이에 따르면 많은 보안 전문가가 보안 장비와 서비스를 현재 이용하고 있지만, 실제 이러한 장비들이 의도대로 잘 작동하고 있는지 구매한 보안 제품의 기능을 잘 활용하고 있는지에 대한 확신이 없다. 더불어 보안 장비가 너무 복잡하고 설정하기 힘들다. 따라서, 사회적 측면에서 공격 시뮬레이션 기술을 필요로한다.According to a recent survey conducted at the RSA conference, many security professionals are currently using security devices and services, but are not sure whether these devices are actually working as intended or taking advantage of the features of the security products they purchase. In addition, the security equipment is too complex and difficult to set up. Therefore, it requires attack simulation technology from a social point of view.
보안 상태에 대한 지속적이고 일관된 테스트가 요구된다. 최근 반복적인 보안성 평가를 통해 공격 노출면을 파악하고, 대응 전략을 수립해 전체적인 IT 환경의 보안을 강화하는 접근법에 대한 중요성이 강조되고 있다. 따라서, 기술적 측면에서 공격 시뮬레이션 기술을 필요로한다.Continuous and consistent testing of security posture is required. Recently, the importance of an approach that strengthens the security of the overall IT environment by identifying the attack surface through repeated security evaluation and establishing a response strategy is being emphasized. Therefore, it requires attack simulation technology from a technical point of view.
본 실시예는 조직에서 운용중인 보안 정책 및 상태를 반복적으로 점검하기 위해 사용할 수 있도록 관리할 필요가 있는 공격 노출면을 미리 파악함으로써 지속적인 보안성 평가 및 효과적인 보안 강화할 수 있도록 하는 사이버 공격 시뮬레이션 제공 방법 및 시스템을 제공하는 데 목적이 있다.This embodiment provides a method of providing a cyber attack simulation that enables continuous security evaluation and effective security reinforcement by identifying in advance the attack surface that needs to be managed so that it can be used to repeatedly check the security policy and status in operation in the organization; The purpose is to provide a system.
본 실시예의 일 측면에 의하면, 공격자 단말기로부터 수신된 제어 명령을 기반으로 인터넷망에서 공격대상을 선정하고, 상기 공격대상에 대해 내부 정보를 수집하는 침투전 정보 수집 과정; 상기 내부 정보를 기초로 접근 가능 경로를 파악하는 최초 침투 과정; 상기 공격대상에 설치된 에이전트를 실행하도록 하는 거점확보 과정; 상기 에이전트와 연결 가능한 것으로 확인되면, 상기 공격대상으로 접근하는 권한 상승을 확인하는 권한상승 과정; 상기 에이전트로 상기 공격명령을 전송한 후 상기 공격명령에 따라 상기 에이전트가 설치된 공격대상이 무력화될 때, 상기 에이전트로 주요정보 수집명령을 전송하며, 상기 에이전트로부터 상기 주요정보 수집명령에 대응하는 주요정보를 수집하는 내부정찰 과정; 및 상기 주요정보를 외부로 탈취하고, 상기 에이전트를 이용하여 중요정보 탈취 흔적을 제거하도록 하는 목적달성 과정을 포함하는 것을 특징으로 하는 사이버 공격 시뮬레이션 제공 방법을 제공한다.According to an aspect of this embodiment, a pre-infiltration information collection process of selecting an attack target in the Internet network based on a control command received from an attacker terminal, and collecting internal information about the attack target; an initial penetration process of identifying an accessible path based on the inside information; a process of securing a base to execute the agent installed in the attack target; When it is confirmed that it is possible to connect with the agent, an authority elevation process of confirming an elevation of authority to access the attack target; After transmitting the attack command to the agent, when the attack target installed with the agent is ineffective according to the attack command, a main information collection command is transmitted to the agent, and the main information corresponding to the main information collection command from the agent an internal reconnaissance process to collect; And it provides a cyber attack simulation providing method comprising the steps of: stealing the main information to the outside and removing traces of the important information theft by using the agent.
이상에서 설명한 바와 같이 본 실시예에 의하면, 조직에서 운용중인 보안 정책 및 상태를 반복적으로 점검하기 위해 사용할 수 있도록 관리할 필요가 있는 공격 노출면을 미리 파악함으로써 지속적인 보안성 평가 및 효과적인 보안 강화할 수 있도록 하는 효과가 있다.As described above, according to this embodiment, by identifying in advance the attack surface that needs to be managed so that it can be used to repeatedly check the security policies and statuses being operated by the organization, continuous security evaluation and effective security can be strengthened. has the effect of
도 1은 본 실시예에 따른 사이버 공격 시뮬레이션 제공 시스템을 나타낸 도면이다.
도 2는 본 실시예에 따른 사이버 공격 시뮬레이션 제공 방법을 설명하기 위한 순서도이다.
도 3은 본 실시예에 따른 사이버 공격 시뮬레이션 기능 정의를 설명하기 위한 도면이다.
도 4는 본 실시예에 따른 침투 전 정보 수집 및 정찰 수행 단계를 설명하기 위한 도면이다.
도 5는 본 실시예에 따른 최초 침투 단계를 설명하기 위한 도면이다.
도 6은 본 실시예에 따른 거점 확보 단계를 설명하기 위한 도면이다.
도 7은 본 실시예에 따른 권한 상승 단계를 설명하기 위한 도면이다.
도 8은 본 실시예에 따른 내부정찰 단계를 설명하기 위한 도면이다.
도 9a,9b는 본 실시예에 따른 목적달성 단계를 설명하기 위한 도면이다.1 is a diagram illustrating a cyber attack simulation providing system according to the present embodiment.
2 is a flowchart illustrating a method for providing a cyber attack simulation according to the present embodiment.
3 is a diagram for explaining the definition of a cyber attack simulation function according to the present embodiment.
4 is a view for explaining the steps of collecting information and performing reconnaissance before infiltration according to the present embodiment.
5 is a view for explaining the first penetration step according to the present embodiment.
6 is a view for explaining the step of securing a base according to the present embodiment.
7 is a view for explaining an authority elevation step according to the present embodiment.
8 is a view for explaining the internal reconnaissance step according to the present embodiment.
9A and 9B are diagrams for explaining the step of achieving an object according to the present embodiment.
이하, 본 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, this embodiment will be described in detail with reference to the accompanying drawings.
도 1은 본 실시예에 따른 사이버 공격 시뮬레이션 제공 시스템을 나타낸 도면이다.1 is a diagram illustrating a cyber attack simulation providing system according to the present embodiment.
사이버 공격 시뮬레이션 제공 시스템은 경험적 측면에서 Offensive Security(모의해킹, APT 테스트)를 수행한 데이터를 기반으로 공격대상의 가장 취약한 포인트를 파악 가능하며, 다양한 공격 시나리오를 포함한다. 사이버 공격 시뮬레이션 제공 시스템은 기술적 측면에서 기 설정된 단계(예컨대, 총 6단계)에 따라 공격을 수행한다.The cyber attack simulation providing system can identify the most vulnerable point of the attack target based on the data that performs Offensive Security (mock hacking, APT test) in the empirical aspect, and includes various attack scenarios. The cyber attack simulation providing system performs an attack according to preset steps (eg, a total of 6 steps) in terms of technology.
사이버 공격 시뮬레이션 제공 시스템은 실제 노출된 기업 정보를 수집한 후 수집된 정보를 이용하여 외부에서 내부로 침투하는 시나리오를 구성한다. 사이버 공격 시뮬레이션 제공 시스템은 내부 침투 후, 단계적 공격의 흐름을 마이터 어택(Mitre Attack)과 연계하여 세부 공격 기술을 자동으로 수행할 수 있는 시뮬레이터를 구성한다.The cyber attack simulation providing system collects the company information that is actually exposed and uses the collected information to construct a scenario of infiltration from the outside to the inside. The cyber attack simulation providing system configures a simulator that can automatically perform detailed attack techniques by linking the flow of a step-by-step attack with Miter Attack after internal penetration.
사이버 공격 시뮬레이션 제공 시스템은 플러그인(Plug-In) 시나리오 기반으로 새로운 유형의 공격 기술 및 시나리오를 확장하여 적용할 수 있다. 사이버 공격 시뮬레이션 제공 시스템은 운영적인 측면에서 새로운 해킹 시나리오에 따른 기법/기술, 신규 취약점, 변종 악성코드를 지속적으로 반영할 수 있다. 사이버 공격 시뮬레이션 제공 시스템은 예컨대, 6단계별 공격 테스트 시뮬레이터(Attack Simulator)를 제공한다.The cyber attack simulation providing system can expand and apply new types of attack technologies and scenarios based on plug-in scenarios. In terms of operation, the cyber attack simulation providing system can continuously reflect techniques/techniques, new vulnerabilities, and variant malicious codes according to new hacking scenarios. The cyber attack simulation providing system provides, for example, a six-step attack test simulator (Attack Simulator).
사이버 공격 시뮬레이션 제공 시스템은 1단계로 침투전 정보수집/정찰을 수행한다. 사이버 공격 시뮬레이션 제공 시스템은 1단계로 외부 정보 수집(DNS, Sub-Domain, 열린 Port 및 서비스 등), 웹서버 정보 수집(시스템 종류, Version, CMS, 개발언어 등), 공개(Open) 및 딥 웹(Deep Web) 정보 수집(중요 파일, 민감 정보-이메일(Eail), 전화번호 등)을 수행한다.The cyber attack simulation providing system performs pre-infiltration information collection/reconnaissance in the first stage. The cyber attack simulation providing system is the first step in collecting external information (DNS, Sub-Domain, open ports and services, etc.), collecting web server information (system type, version, CMS, development language, etc.), opening and deep web (Deep Web) Collects information (important files, sensitive information-e-mail, phone number, etc.).
사이버 공격 시뮬레이션 제공 시스템은 2단계로 최초침투 시뮬레이터를 제공한다. 사이버 공격 시뮬레이션 제공 시스템은 2단계로 악성코드 첨부파일(스피어피싱)/악성링크(워터링홀) 메일 발송 및 확인, 식별된 인프라(WEB, WAS, CMS 등) 정보/서비스 취약점 공격, 방화벽 없는 서버 침투 공격(쉘쇼크, RDP, FTP, SSH)을 수행한다.The cyber attack simulation providing system provides the first penetration simulator in two stages. The cyber attack simulation providing system sends and confirms malicious code attachments (spear phishing)/malicious link (watering hole) mail in two steps, attacks on identified infrastructure (WEB, WAS, CMS, etc.) information/service vulnerabilities, server penetration without firewall Perform attacks (shellshock, RDP, FTP, SSH).
사이버 공격 시뮬레이션 제공 시스템은 3단계로 거점확보 시뮬레이터를 제공한다. 사이버 공격 시뮬레이션 제공 시스템은 3단계로 PC 및 서버 거점 확보, 공격 서버와 리버스 커넥션(Reverse Connection) 시 지정한 명령 수행, 키-로깅 정보 수집을 수행한다.The cyber attack simulation providing system provides a base securing simulator in three steps. The cyber attack simulation providing system performs three steps: securing a PC and server base, executing a specified command during a reverse connection with the attack server, and collecting key-logging information.
사이버 공격 시뮬레이션 제공 시스템은 4단계로 권한상승 시뮬레이터를 제공한다. 사이버 공격 시뮬레이션 제공 시스템은 4단계로 리눅스 환경 권한 상승을 위한 정보 수집, 윈도우 환경 권한 상승을 위한 정보 수집, 시스템 권한 상승 후 무차별 대입 공격(Brute-Force)를 수행한다. The cyber attack simulation providing system provides a privilege escalation simulator in four steps. The cyber attack simulation providing system performs a brute-force attack after collecting information for Linux environment privilege elevation, Windows environment privilege elevation, and system privilege elevation in four steps.
사이버 공격 시뮬레이션 제공 시스템은 5단계로 내부정찰 시뮬레이터를 제공한다. 사이버 공격 시뮬레이션 제공 시스템은 5단계로 내부서버 거점확보 기능 및 정찰 반복을 수행한다.The cyber attack simulation providing system provides the internal reconnaissance simulator in five steps. The cyber attack simulation providing system performs the function of securing an internal server base and repeating reconnaissance in five steps.
사이버 공격 시뮬레이션 제공 시스템은 6단계로 목적달성 시뮬레이터를 제공한다. 사이버 공격 시뮬레이션 제공 시스템은 6단계로 테스트용 악성코드 삽입 기능, 테스트용 중요 파일 압축 및 전송, 은닉/회피를 위한 로그(Log) 자동 삭제를 수행한다.The cyber attack simulation providing system provides the goal achievement simulator in six steps. The cyber attack simulation providing system performs the function of inserting malicious code for testing in 6 steps, compressing and transmitting important files for testing, and automatically deleting logs for hiding/avoidance.
본 실시예에 따른 사이버 공격 시뮬레이션 제공 시스템은 공격자 단말기(110), 공격 서버(120), 에이전트(130)를 포함한다. 사이버 공격 시뮬레이션 제공 시스템에 포함된 구성요소는 반드시 이에 한정되는 것은 아니다.The cyber attack simulation providing system according to the present embodiment includes an
공격자 단말기(110)는 공격 서버(120)로 공격대상 정보를 전송한다. 공격자 단말기(110)는 공격 서버(120)로 공격대상에 대한 내부정보 수집명령을 전송한다. 공격자 단말기(110)는 공격 서버(120)로 공격대상에 대한 공격명령을 전송한다.The
공격자 단말기(110)는 공격 서버(120)로 공격대상에 대한 에이전트 설치 및 배포 명령을 전송한다. 공격자 단말기(110)는 공격 서버(120)로 공격명령을 전송한다. 공격자 단말기(110)는 공격 서버(120)로 공격대상에 대한 주요정보 수집명령을 전송한다. 공격자 단말기(110)는 공격 서버(120)로 탈취 흔적 제거 명령을 전송한다.The
공격 서버(120)는 외부망으로부터 정보를 수집하고, 서비스를 식별한다. 공격 서버(120)는 외부망으로부터 정보를 수집된 정보 중 공격대상을 특징으로 공격대상으로 공격 및 최초 침투를 수행한다. 공격 서버(120)는 공격대상으로 침투 후, 거점 확보를 위한 연결 및 에이전트(130) 설치를 수행하도록 한다.The
공격 서버(120)는 공격대상으로 리버스 커넥션(Reverse Connection) 및 에이전트1(A1) 설치 후 권한 상승을 위한 공격을 수행한다. 공격 서버(120)는 공격대상으로 에이전트1(A1)에 공격명령 전달 후, 내부 정찰을 통한 에이전트2(A2)로 지속적 확산(전이) 공격을 수행한다. 공격 서버(120)는 공격대상으로 에이전트1(A1), 에이전트2(A2)에 공격명령 전달 후 목적달성(중요정보 탈취 및 흔적 제거 등)을 수행한다.The
공격 서버(120)는 침투전 정보 수집 과정, 최초 침투 과정, 거점확보 과정, 권한상승 과정, 내부정찰 과정, 목적달성 과정을 수행한다.The
공격 서버(120)는 공격자 단말기(110)로부터 수신된 제어 명령을 기반으로 외부망에서 공격대상을 선정하고, 공격대상에 대해 내부 정보를 수집하는 침투전 정보 수집 과정을 수행한다.The
공격 서버(120)는 침투전 정보 수집 과정을 수행하기 위해 외부망에서 공격대상에 대해 OSINT(Open Source INTelligence), 크롤링(Crawling), 다크웹(DarkWeb)을 기반으로 외부에 공개된 정보를 내부 정보로 수집한다. 공격 서버(120)는 침투전 정보 수집 과정을 수행하기 위해 외부망에서 공격대상에 대해 스캔한 정보를 내부 정보로 수집한다.The
공격 서버(120)는 침투전 정보 수집 과정을 수행하기 위해 외부망에서 공격대상을 선별한 후 공격대상에 대한 서비스 식별 정보, 검색엔진 정보, 서브 도메인 정보를 내부 정보로서 수집한다.The
공격 서버(120)는 공격대상으로부터 수집된 내부 정보를 기초로 접근 가능 경로를 파악하는 최초 침투 과정을 수행한다.The
공격 서버(120)는 최초 침투 과정을 수행하기 위해, 공격대상으로부터 수집된 내부 정보를 기반으로 공격대상에 대한 취약점을 파악한다. 공격 서버(120)는 취약점을 기반으로 공격대상에 접근 가능한 것으로 확인되면, 취약점에 대한 익스플로잇 공격(Exploit)을 수행한다. 공격 서버(120)는 취약점을 기반으로 공격대상에 접근이 불가한 것으로 확인되면, 제1 보안 우회로 공격대상에 접근한다. 공격 서버(120)는 제1 보안 우회로 공격대상에 접근이 불가한 것으로 확인되면, 공격대상에 일반 경로로 접근한다. 공격 서버(120)는 일반 경로로 공격대상에 접근 불가한 것으로 확인되면, 기타 경로로 악성 코드 공격을 수행한다.The
공격 서버(120)는 최초 침투 과정을 수행하기 위해, 공격대상에 무차별 대입 공격(Brute-Force)을 수행하거나 파일 업로드(File Upload)를 수행한 디폴트 페이지(Default Page)를 확인하거나 SQL 인젝션(SQL Injection)을 수행한 SQL 에러 페이지(SQL Error Page)를 확인하여 공격대상에 대한 취약점을 파악한다.The
공격 서버(120)는 공격대상에 설치된 에이전트를 실행하도록 하는 거점확보 과정을 수행한다.The
공격 서버(120)는 거점확보 과정을 수행하기 위해, 취약점에 대한 익스플로잇 공격이 성공하거나, 제1 보안 우회로 공격대상에 접근하거나, 일반 경로로 공격대상에 접근하거나, 악성 코드 공격이 성공하는 경우, 공격대상에 설치된 에이전트(130)로 연결이 가능한지의 여부를 확인한다. 확인 결과 에이전트(130)로 연결이 가능한 것으로 확인되면, 공격 서버(120)는 에이전트(130)로 에이전트(130)를 실행하도록 하는 실행 명령을 전송한다. 확인 결과 에이전트(130)로 연결이 불가한 것으로 확인되면, 공격 서버(120)는 제2 보안 우회로 에이전트(130)로 실행 명령을 전송한다.In order to perform the process of securing a base, the
공격 서버(120)는 거점확보 과정을 수행하기 위해, 공격대상에 대해 SQL 인젝션(SQL Injection)을 수행하여 xp_cmdshell 확장프로시저, 웹쉘 생성 또는 명령어 실행, 서버 권한 확인을 수행한다. 공격 서버(120)는 확인된 정보를 기반으로 에이전트(130)가 공격대상에 다운로드되도록 한 후 에이전트(130)를 실행하도록 하는 실행 명령을 공격대상으로 전송한다. 공격 서버(120)는 실행 명령에 의해 에이전트(130)가 실행되면, 에이전트(130)와 리버스 커넥션(Reverse Connection)을 수행한다. 이후 공격 서버(120)는 에이전트(130)에서 퍼시스턴스(Persistence) 기능을 수행하도록 하고, 에이전트(130)와 터널링(tunneling)을 구성한다.The
공격 서버(120)는 공격대상에 설치된 에이전트(130)와 연결 가능한 것으로 확인되면, 공격대상으로 접근하는 권한 상승을 확인하는 권한상승 과정을 수행한다.When it is confirmed that the
공격 서버(120)는 권한상승 과정을 수행하기 위해, 공격대상에 설치된 에이전트(130)를 이용하여 공격명령을 전송한 후 공격명령에 따라 에이전트(130)가 설치된 공격대상이 무력화될 때, 공격대상으로 접근하는 권한 상승을 확인한다.The
공격 서버(120)는 권한상승 과정을 수행하기 위해, 에이전트(130)를 이용하여 에이전트(130)가 설치된 공격대상의 웹 소스, 설정파일, 일반 텍스트 파일로부터 기 저장된 계정정보를 추출한다. 공격 서버(120)는 에이전트(130)를 이용하여 CVE(Common Vulnerabilities and Exposures)를 기반으로 로컬 권한상승 취약점 공격을 수행한다. 공격 서버(120)는 에이전트(130)를 이용하여 무차별 대입 공격(Brute-Force)으로 유추 가능 계정에 대한 무작위 대입공격을 수행한다. 공격 서버(120)는 에이전트(130)를 이용하여 키로거(Key-Logger)에 의한 계정 정보를 수집한 후 주기적으로 모니터링한다. 공격 서버(120)는 로컬 권한상승 취약점 공격, 무작위 대입공격으로 에이전트(130)가 설치된 공격대상을 무력화한다.The
공격 서버(120)는 공격대상에 설치된 에이전트(130)로 공격명령을 전송한 후 공격명령에 따라 에이전트(130)가 설치된 공격대상이 무력화될 때, 에이전트(130)로 주요정보 수집명령을 전송하며, 에이전트(130)로부터 주요정보 수집명령에 대응하는 주요정보를 수집하는 내부정찰 과정을 수행한다.The
공격 서버(120)는 내부정찰 과정을 수행하기 위해, 공격대상으로 접근하는 권한 상승이 확인되면, 공격대상에 대해 관리자(Admin) 권한 단위 공격을 수행한다. 공격 서버(120)는 공격대상으로 접근하는 권한 상승이 미확인되면, 사용자(User) 권한 단위 공격을 수행한다. 공격 서버(120)는 제2 보안 우회로 에이전트로 상기 실행 명령이 미전송되거나 일반 경로로 악성 코드 공격이 가능한 경우, 악성코드 기반으로 호스트 레벨을 단위 공격을 수행한다. 공격 서버(120)는 공격대상에 대해 스캔이 불가하거나, 기타 경로로 접근이 불가하거나, 일반 경로로 악성 코드 공격이 불가한 경우, 서드파티 프로그램을 이용하여 기타 공격을 수행한다.In order to perform the internal reconnaissance process, the
공격 서버(120)는 내부정찰 과정을 수행하기 위해, 관리자 권한 단위 공격, 사용자 권한 단위 공격, 호스트 레벨을 단위 공격, 기타 공격이 성공하여 에이전트가 설치된 공격대상이 무력화될 때, 에이전트(130)로 주요정보 수집명령을 전송한다.In order to perform the internal reconnaissance process, the
공격 서버(120)는 내부정찰 과정을 수행하기 위해, 에이전트(130)를 이용하여 인접한 에이전트로 공격명령을 전송한 후 공격명령에 따라 인접한 에이전트가 설치된 공격대상이 무력화될 때, 에이전트 및 인접한 에이전트로 주요정보 수집명령을 전송한다.The
공격 서버(120)는 내부정찰 과정을 수행하기 위해, 에이전트(130)를 이용하여 에이전트(130)가 설치된 공격대상(서버 또는 단말기) 내 중요정보(계정, 설정, 대외비 정보 등)를 수집하기 위해 외망 네트워크를 스캔하도록 하여 에이전트(130)로부터 주요정보를 수집한다. 공격 서버(120)는 주요정보를 기반으로 에이전트(130)와 인접한 에이전트를 확인한다. 공격 서버(120)는 주요정보를 기반으로 인접한 에이전트로 전이공격을 수행한다. 공격 서버(120)는 인접한 에이전트로 전이공격이 성공하면 인접한 에이전트로 추가 에이전트가 다운로드되도록 한다. 이후 공격 서버(120)는 추가 에이전트를 실행하도록 하는 추가 실행 명령을 인접한 에이전트가 설치된 공격대상으로 전송한다.The
공격 서버(120)는 주요정보를 외부로 탈취하고, 공격대상에 설치된 에이전트(130)를 이용하여 중요정보 탈취 흔적을 제거하도록 하는 목적달성 과정을 수행한다.The
공격 서버(120)는 목적달성 과정을 수행하기 위해, 에이전트(130)가 주요 정보를 수집한 후 에이전트(130)가 설치된 공격대상에 대해 로그(Log) 삭제, 프로세스 생성, 백도어(Backdoor), 키로거(Key-Logger), MBR(Master Boot Record) 파괴, 캡쳐, 압축 중 적어도 하나 이상을 수행하도록 한다.The
공격 서버(120)는 목적달성 과정을 수행하기 위해, 에이전트(130) 및 인접한 에이전트로부터 수집된 주요 정보를 암호화한 후 은닉채널 또는 암호화 통신을 이용하여 외부로 탈취한다. 공격 서버(120)는 에이전트(130) 및 인접한 에이전트를 이용하여 로그인 흔적 제거, 이벤트 로그 제거, 공격에 사용한 모듈 제거, 에이전트 자가삭제를 수행하도록 한다. 공격 서버(120)는 에이전트(130) 및 인접한 에이전트를 이용하여 공격대상에 대한 주요정보 탈취 화면, 흔적제거 화면을 캡쳐하도록 하여 전송하도록 한다. 공격 서버(120)는 흔적제거를 위해 캡쳐된 파일을 삭제하도록 한다.The
공격 서버(120)는 공격자 단말기(110)로부터 수신된 공격명령에 따라 복수의 시나리오(예컨대, 시나리오1 내지 시나리오5)를 기반으로 공격대상을 공격한다.The
공격 서버(120)는 시나리오1로 공격대상을 공격한다.The
① 공격 서버(120)는 공격대상의 USB, 메일(Mail) 등을 이용하여 특정 확장자를 가진 파일(예컨대, Hwp)의 악성코드를 감염시킨다. ② 공격 서버(120)는 공격대상에서 악성코드를 실행하면 추가 프로세스를 생성한다. ③ 공격 서버(120)는 공격대상을 기반으로 추가 호스트(Host) 감염 및 전이공격을 수행한다. ④ 공격 서버(120)는 공격대상으로부터 키-로깅을 이용하여 사용자 정보를 수집한다. ⑤ 공격 서버(120)는 공격대상에 설치된 에이전트(130)가 수행할 수 있는 모든 행위를 수행한다. ⑥ 공격 서버(120)는 공격대상에 흔적을 제거하고 외부로 유출한다.① The
공격 서버(120)는 시나리오2로 공격대상을 공격한다.The
① 공격 서버(120)는 서드파티(3rd-P) 키보드보안솔루션에 악성코드를 감염 시킨다. ② 공격 서버(120)는 인터넷 링크(Link)를 이용하여 공격대상에 키보드보안솔루션이 다운되도록 한다. ③ 공격 서버(120)는 공격대상이 되는 호스트(Host)에 악성코드를 감염시킨다. ④ 공격 서버(120)는 추가 호스트(Host) 감염 및 전이공격을 수행한다. ⑤ 공격 서버(120)는 공격대상의 시스템 정보 및 네트워크(NIC: Network Interface Controller) 정보를 확인한다. ⑥ 공격 서버(120)는 공격대상이 되는 서버 내 파일 업로드 및 다운로드를 실행한다. ⑦ 공격 서버(120)는 공격대상의 흔적을 제거하고 외부로 유출한다.① The
공격 서버(120)는 시나리오3으로 공격대상을 공격한다.The
① 공격 서버(120)는 시나리오1 또는 시나리오2를 이용하여 공격대상의 내부에 악성코드를 감염시킨다. ② 공격 서버(120)는 공격대상인 호스트(Host)로부터 AV(Anti-Virus) 정보를 획득한다. ③ 공격 서버(120)는 AV 정보를 기반으로 공격대상인 호스트의 패치가 안된 AV(Vi-robot) 특정 버전을 공격한다. ④ 공격 서버(120)는 공격대상인 호스트에 추가 프로세스를 실행한다. ⑤ 공격 서버(120)는 공격대상인 호스트로부터 사용자 정보 및 중요 정보를 획득한다. ⑥ 공격 서버(120)는 공격대상의 흔적을 제거하고 외부로 유출한다.① The
공격 서버(120)는 시나리오4로 공격대상을 공격한다.The
① 공격 서버(120)는 시나리오1 또는 시나리오2를 이용하여 공격대상의 내부에 악성코드를 감염시킨다. ② 공격 서버(120)는 공격대상인 호스트(Host)로부터 AV(Anti-Virus) 정보를 획득한다. ③ 공격 서버(120)는 AV 정보를 기반으로 공격대상인 호스트의 패치가 안된 AV(Vi-robot) 특정 버전을 공격한다. ④ 공격 서버(120)는 공격대상인 호스트에 추가 프로세스를 실행한다. ⑤ 공격 서버(120)는 네트워크 터널링을 이용하여 호스트의 방화벽을 우회한다. ⑥ 공격 서버(120)는 공격대상인 호스트로부터 사용자 정보 및 중요 정보를 획득한다. ⑦ 공격 서버(120)는 공격대상의 흔적을 제거하고 외부로 유출한다.① The
공격 서버(120)는 시나리오5로 공격대상을 공격한다.The
① 공격 서버(120)는 시나리오1 또는 시나리오2를 이용하여 공격대상의 내부에 악성코드를 감염시킨다. ② 공격 서버(120)는 공격대상인 호스트의 내부 네트워크(NIC: Network Interface Controller) 정보를 확인한다. ③ 공격 서버(120)는 망분리 단말기에 악성코드를 추가로 감염시키고, 원격제어를 수행한다. ④ 공격 서버(120)는 내부망 AV 서버의 관리자페이지 내 악성 파일을 업로드한다. ⑤ 공격 서버(120)는 공격대상의 흔적을 제거하고 외부로 유출한다.① The
에이전트(130)는 공격대상(서버 또는 단말기)에 다운로드 되는 형태로 설치되어 공격 서버(120)와 리버스 커넥션으로 연결된다. 에이전트(130)는 공격대상(서버 또는 단말기)에 공격을 수행하여 공격대상을 무력화시키며, 공격대상이 무력화될 때 공격대상에 대한 주요정보를 수집하여 공격 서버(120)로 전송한다. The
도 2는 본 실시예에 따른 사이버 공격 시뮬레이션 제공 방법을 설명하기 위한 순서도이다.2 is a flowchart illustrating a method for providing a cyber attack simulation according to the present embodiment.
공격자 단말기(110)는 공격대상을 선정하기 위한 제어 명령을 공격 서버(120)로 전송한다. 공격자 단말기(110)는 서비스 식별, 검색 엔진, 서브도메인에 대한 정보수집을 위한 제어 명령을 공격 서버(120)로 전송한다.The
공격 서버(120)는 공격자 단말기(110)로부터 대상 설정 또는 정보 수집을 위한 제어 명령을 수신한다. 공격 서버(120)는 외부망에서 공격대상을 선별한 후 외부에 공개된 정보(OSINT(Open Source INTelligence), 크롤링(Crawling), 다크웹(DarkWeb) 등)가 수집되는 지의 여부를 확인한다(S210).The
단계 S210의 확인 결과, 외부에 공개된 정보가 미수집되는 경우, 공격 서버(120)는 내부 정보가 수집(내부 스캔)되는 지의 여부를 확인한다(S212).As a result of checking in step S210, when the information disclosed to the outside is not collected, the
단계 S210의 확인 결과, 외부에 공개된 정보가 수집되거나, 단계 S212의 확인 결과, 내부 정보가 수집(내부 스캔)되는 경우, 공격 서버(120)는 공격대상에 대한 취약점(Web, App) 기반 접근이 가능한지의 여부를 확인한다(S214).As a result of the confirmation of step S210, when the externally disclosed information is collected, or as a result of the confirmation of step S212, when internal information is collected (internal scan), the
단계 S214의 확인 결과, 공격대상에 대한 취약점(Web, App) 기반 접근이 불가능한 경우, 공격 서버(120)는 공격대상으로 일반 경로에 접근이 가능한지의 여부를 확인한다(S216).As a result of checking in step S214, if the vulnerability (Web, App)-based access to the attack target is not possible, the
단계 S216의 확인 결과, 공격대상으로 일반 경로에 접근이 불가능한 경우, 공격 서버(120)는 공격대상으로 기타 경로 접근이 가능한지의 여부를 확인한다(S218).As a result of the check in step S216, if it is impossible to access the general path as the attack target, the
단계 S214의 확인 결과, 공격대상에 대한 취약점(Web, App) 기반 접근이 가능한 경우, 공격 서버(120)는 취약점에 대한 익스플로잇 공격(Exploit)이 가능한지의 여부를 확인한다(S220).As a result of checking in step S214, if a vulnerability (Web, App)-based access to the attack target is possible, the
단계 S220의 확인 결과, 취약점에 대한 익스플로잇 공격(Exploit)이 불가능하거나 단계 S214의 확인 결과, 공격대상에 대한 취약점(Web, App) 기반 접근이 불가능한 경우, 공격 서버(120)는 공격대상에 대한 보안 우회가 가능한지의 여부를 확인한다(S222).As a result of the verification of step S220, if an exploit attack for the vulnerability is not possible or as a result of the verification of step S214, if the vulnerability (Web, App)-based access to the target is not possible, the
단계 S218의 확인결과, 공격대상으로 기타 경로 접근이 가능한 경우, 공격 서버(120)는 기타 경로로 악성 코드 유포가 가능한지의 여부를 확인한다(S224).As a result of the check in step S218, if the attack target can be accessed through other paths, the
단계 S220의 확인 결과, 취약점에 대한 익스플로잇 공격(Exploit)이 가능하거나 단계 S222의 확인 결과, 공격대상에 대한 보안 우회가 가능하거나 단계 S216의 확인 결과, 공격대상으로 일반 경로에 접근이 가능한 경우, 공격 서버(120)는 공격대상에 설치된 에이전트(130)로 연결이 가능한지의 여부를 확인한다(S226).If, as a result of the verification of step S220, an exploit attack on the vulnerability is possible, or as a result of the verification of step S222, a security bypass to the target is possible, or as a result of the verification of step S216, if the general path is accessible as an attack target, the attack The
단계 S226의 확인 결과, 공격대상에 설치된 에이전트(130)로 연결이 불가능한 경우, 공격 서버(120)는 공격대상에 대한 보안 우회가 가능한지의 여부를 확인한다(S228).As a result of checking in step S226, if the connection to the
단계 S226의 확인 결과, 공격대상에 설치된 에이전트(130)로 연결이 가능한 경우, 공격 서버(120)는 공격대상에 대한 권한상승이 가능한지의 여부를 확인한다(S230). As a result of the check in step S226, if it is possible to connect to the
단계 S230의 확인 결과, 공격대상에 대한 권한상승이 가능한 경우, 공격 서버(120)는 관리자(Admin) 권한 단위 공격을 수행한다(S232). 단계 S230의 확인 결과, 공격대상에 대한 권한상승이 불가능한 경우, 공격 서버(120)는 사용자(User) 권한 단위 공격을 수행한다(S234).As a result of the check in step S230, if it is possible to raise the authority to the attack target, the
단계 S228의 확인 결과, 공격대상에 대한 보안 우회가 불가능하거나 단계 S224의 확인 결과, 기타 경로로 악성 코드 유포가 가능한 경우, 공격 서버(120)는 악성코드 기반으로 호스트 레벨을 단위 공격한다(S236).As a result of the verification in step S228, if the security bypass to the attack target is impossible or as a result of checking in step S224, malicious code distribution is possible through other routes, the
단계 S224의 확인 결과, 기타 경로로 악성 코드 유포가 불가능하거나 단계 S218의 확인 결과, 공격대상으로 기타 경로 접근이 불가능하거나 단계 S212의 확인 결과, 내부 정보가 미수집(내부 스캔)되는 경우, 공격 서버(120)는 서드파티(3rd-p)를 이용한 기타 공격을 수행한다(S238).If, as a result of checking in step S224, it is impossible to distribute the malicious code through other routes, or if, as a result of checking in step S218, access to other routes as an attack target is not possible, or as a result of checking in step S212, internal information is not collected (internal scan), the
공격 서버(120)는 단계 S232, S234, S236, S238을 수행한 후 공격대상에 설치된 에이전트(130)로 내부정보 수집 및 정찰을 요청한다(S240). 공격 서버(120)는 공격대상에 설치된 에이전트(130)로부터 내부정보를 수집 및 정찰한 정보(Log 삭제, 프로세스 생성, 백도어(Backdoor), 키로거(Key-Logger), MBR(Master Boot Record) 파괴, 캡쳐/압축/전송)를 수신한다(S242).After performing steps S232, S234, S236, and S238, the
도 2에서는 단계 S210 내지 단계 S242를 순차적으로 실행하는 것으로 기재하고 있으나, 반드시 이에 한정되는 것은 아니다. 다시 말해, 도 2에 기재된 단계를 변경하여 실행하거나 하나 이상의 단계를 병렬적으로 실행하는 것으로 적용 가능할 것이므로, 도 2는 시계열적인 순서로 한정되는 것은 아니다.Although it is described that steps S210 to S242 are sequentially executed in FIG. 2 , the present invention is not limited thereto. In other words, since it may be applicable by changing and executing the steps described in FIG. 2 or executing one or more steps in parallel, FIG. 2 is not limited to a time-series order.
전술한 바와 같이 도 2에 기재된 본 실시예에 따른 사이버 공격 시뮬레이션 제공 방법은 프로그램으로 구현되고 컴퓨터로 읽을 수 있는 기록매체에 기록될 수 있다. 본 실시예에 따른 사이버 공격 시뮬레이션 제공 방법을 구현하기 위한 프로그램이 기록되고 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. As described above, the cyber attack simulation providing method according to the present embodiment described in FIG. 2 may be implemented as a program and recorded in a computer-readable recording medium. A computer-readable recording medium in which a program for implementing the method for providing a cyber attack simulation according to the present embodiment is recorded includes all types of recording devices in which data readable by a computer system is stored.
도 3은 본 실시예에 따른 사이버 공격 시뮬레이션 기능 정의를 설명하기 위한 도면이다.3 is a diagram for explaining the definition of a cyber attack simulation function according to the present embodiment.
공격자 단말기(110)는 공격 서버(120)와 연결되어 제어 명령을 전송한다. 공격 서버(120)는 제어 명령을 기반으로 공격대상을 선정하고, 공격대상에 에이전트(130)를 설치한다. 공격 서버(120)는 공격대상에 에이전트(130)를 기반으로 공격을 수행한다.The
공격자 단말기(110)는 공격자가 전체 상황 지휘 및 제어를 목적으로 실행하는 프로그램을 탑재한다. 공격자 단말기(110)는 공격 서버(120)와 지속적인 통신하면서 싱크(Sync)를 일치시킨다. 공격자 단말기(110)는 GUI 환경으로 전체적인 공격현황 확인(Dash Board 역할)한다. 공격자 단말기(110)는 에이전트(130)가 설치된 서버 아이콘을 선택한 후 명령 및 정보 조회를 요청한다.The
공격 서버(120)는 AI 프레임워크와 연동한다. 공격 서버(120)는 공격자 단말기(110)에서 공격 행위에 대한 명령을 전달받고 수행한다. 공격 서버(120)는 공격에 필요한 다양한 모듈(Stand Alone)로 구성된다. 공격 서버(120)는 모든 액션 이벤트(Action Event)(공격 서버(120)/에이전트(130))에 대한 로그를 저장한다. 공격 서버(120)는 공격 성공(권한획득) 후 설치하는 에이전트(130)를 생성 및 배포한다. 공격 서버(120)는 VPN, Socks, SSH 등 터널링 서버를 지원한다. 공격 서버(120)는 공격자 단말기(110)와 통신하는 메인 프레임(암호화된 통신)을 포함한다.The
공격 서버(120)는 에이전트(130)를 최초로 설치하기 위해 필요한 제1 공격 모듈(Stage1)을 포함한다. 공격 서버(120)는 제1 공격 모듈(Stage1)을 이용하여 정보수집 및 최초공격을 시도한다. 공격 서버(120)는 포트스캔, 브르트포스, 구글해킹 등을 이용하여 정보수집을 수행한다. 공격 서버(120)는 WEB, FTP, SSH, SMB, TELNET, RDP, VNC 등에 대한 최초공격을 수행한다.The
공격 서버(120)는 설치된 에이전트(130)를 이용하여 수행할 수 있는 제2 공격 모듈(Stage2)을 포함한다. 공격 서버(120)는 제2 공격 모듈(Stage2)을 이용하여 제1 공격 모듈(Stage1)과 공격, 피봇팅 관련(Post Exploitation) 동작을 수행한다.The
공격 서버(120)는 제1 공격 모듈(Stage1), 제2 공격 모듈(Stage2)을 추가 또는 수정하는 관리부(Manager)를 포함한다.The
공격 서버(120)는 공격대상에 대한 공격 성공 후 설치되는 에이전트(130)를 포함한다. 공격 서버(120)는 에이전트(130)에 대한 Windows/Linux 환경에 맞게 실행되는 바이너리(Windows PE Executable, Windows DLL, Linux Binary, Linux Shared Object, Python Script 등)의 생성 및 수정한다.The
공격 서버(120)는 로그 기반 리포팅을 수행한다. 공격 서버(120)는 특정 호스트 공격 결과에 대한 타임라인 기반의 리포트를 생성한다. 공격 서버(120)는 수행 되거나 선택된 공격의 흐름(공격 트리)을 리포트로 제공한다.The
에이전트(130)는 공격 서버(120)와 통신(암호화된 통신)하는 클라이언트를 포함한다. 에이전트(130)는 공격을 통해 권한이 획득되면 서버(HOST) 또는 단말기(PC)에 설치되는 바이너리(Windows, Linux)를 포함한다. 에이전트(130)는 공격 서버(120)의 공격을 수행하는 명령어 해석기 역할을 수행한다. 에이전트(130)는 다양한 네트워크 피버팅(Network Pivoting) 기능 및 자가삭제 기능을 지원한다.The
에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어 시스템 정보를 수집한다. 에이전트(130)는 기본적인 시스템 정보 확인 기능을 지원하고, 시스템 기본정보(호스트명, IP, 사용자명, 운영체제 정보, 시스템 사양, 권한 등등)를 수집한다.The
에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어 현재 실행중인 프로세스 및 설치된 프로그램을 확인한다. 에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어 리눅스/윈도우에 설치된 프로그램/프로세스 확인, 써드파티(3rd-party) 프로그램 취약점 확인하고, 백신의 정보를 확인한다.The
에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어 현재 실행중인 서비스 확인하고, 윈도우 서비스를 확인한다. 에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어 네트워크(NIC) 정보 확인하고, 네트워크 망 대역을 확인한다. 에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어 타일 탐색기를 수행한다. 에이전트(130)는 파일 탐색기의 파일 탐색 메뉴를 이용하여 서버 내 파일을 탐색하고, 파일의 업로드, 다운로드, 실행, 수정, 생성을 수행한다.The
에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어 화면캡쳐를 수행한다. 에이전트(130)는 화면캡쳐 기능을 이용하여 현재 로그온 상태의 화면 캡쳐하거나 화면캡쳐를 통한 정보 수집(예컨대, 바탕화면 스티커노트 등에 기록된 계정 정보 등)한다.The
에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어 키-로깅을 수행한다. 에이전트(130)는 키-로깅 기능을 이용하여 키 입력 내용 로컬에 저장하거나 키-로깅을 이용한 정보를 수집한다.The
에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어 원격제어를 수행한다. 에이전트(130)는 원격제어 기능을 이용하여 VNC(Virtual Network Computing)와 유사한 방식으로 원격제어를 수행한다. 에이전트(130)는 원격제어 기능을 이용하여 실시간 화면 캡쳐 또는 화면캡쳐 후 마우스 포인터 좌표값을 이용한다.The
에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어 쉘 기능을 지원한다. 에이전트(130)는 쉘 기능을 이용하여 쉘 커맨드 명령어를 실행시키거나 윈도우/리눅스 기본 쉘 명령어를 사용한다. The
에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어 네트워크 릴레이 기능을 수행한다. 에이전트(130)는 네트워크 릴레이 기능을 이용하여 터널링을 수행하며, 포트포워딩, Socks, SSH, VPN, HTTP를 지원한다.The
에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어, 서버에 등록된 계정정보(패스워드)를 획득하거나 사용자명을 수집하고, Mimikatz, Wce 등을 이용하여 패스워드/해시를 수집한다.The
에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어, 전이공격을 위한 브라우저 패스워드, 저장된 Wi-Fi 암호, 아웃룩(Outlook) 계정정보 등을 수집한다.The
에이전트(130)는 공격대상인 서버(HOST) 또는 단말기(PC)에 설치되어, 레지스트리 탐색기를 이용하여 정보를 수집한다. 에이전트(130)는 레지스트리에 등록된 네트워크/계정 정보 등을 확인한다.The
도 4는 본 실시예에 따른 침투 전 정보 수집 및 정찰 수행 단계를 설명하기 위한 도면이다.4 is a view for explaining the steps of collecting information and performing reconnaissance before infiltration according to the present embodiment.
공격자 단말기(110)는 공격 서버(120)로 공격대상 정보를 전송한다. 공격 서버(120)는 외부망으로부터 정보를 수집하고, 서비스를 식별한다.The
공격자 단말기(110)는 공격대상설정(예컨대, *.a.com)을 위한 제어 명령을 공격 서버(120)로 전송한다. 공격자 단말기(110)는 서비스 식별, 검색 엔진, 서브도메인에 대한 정보수집을 위한 제어 명령을 공격 서버(120)로 전송한다.The
공격 서버(120)는 공격자 단말기(110)로부터 대상 설정 또는 정보 수집을 위한 제어 명령을 수신한다. 공격 서버(120)는 외부망에서 공격대상(*.a.com)을 선별한 후 서비스 식별(21 FTP, 22 SSH, 80 웹, 445 SMB, 3389 RDP, 3306 MYSQL, 8080 TOMCAT 등) 정보를 수집한다. 공격 서버(120)는 외부망에서 선별된 공격대상(*.a.com)에 대한 검색엔진(ADMIN Page, SQL Error, Test Page, Default Page (CMS Editor) 등) 정보를 수집한다. 공격 서버(120)는 외부망에서 선별된 공격대상(*.a.com)에 대한 서브 도메인(dev, test, Intra 등) 정보를 수집한다.The
도 5는 본 실시예에 따른 최초 침투 단계를 설명하기 위한 도면이다.5 is a view for explaining the first penetration step according to the present embodiment.
공격자 단말기(110)는 공격 서버(120)로 공격명령을 전송한다. 공격 서버(120)는 외부망으로부터 정보를 수집된 정보 중 공격대상을 특징으로 공격대상으로 공격 및 최초 침투를 수행한다.The
공격자 단말기(110)는 공격대상설정(예컨대, a.com, dev.a.com)을 위한 제어 명령을 공격 서버(120)로 전송한다. 공격자 단말기(110)는 공격대상을 공격(Brute-Force, File Upload, SQL Injection, CVE Attack)하는 제어 명령을 공격 서버(120)로 전송한다. The
공격 서버(120)는 무차별 대입 공격(Brute-Force)으로 공격대상인 [a.com]에 대해 공격(21 FTP, 22 SSH, 8080 TOMCAT)을 수행하고, 공격대상인 [dev.a.com]에 대해 공격(80 WEB)을 수행한다.The
공격 서버(120)는 파일 업로드(File Upload)로 공격대상인 [a.com]에 대한 디폴트 페이지(Default Page)(CMS Editor)를 확인한다. 공격 서버(120)는 SQL 인젝션(SQL Injection)으로 공격대상인 [a.com]에 대한 SQL 에러 페이지(SQL Error Page)를 확인한다. 공격 서버(120)는 CVE 공격으로 공격대상인 [dev.a.com]에 대한 공격(TOMCAT)을 수행한다.The
도 6은 본 실시예에 따른 거점 확보 단계를 설명하기 위한 도면이다.6 is a view for explaining the step of securing a base according to the present embodiment.
공격자 단말기(110)는 공격 서버(120)로 공격명령을 전송한다. 공격 서버(120)는 공격대상으로 침투 후, 거점 확보를 위한 연결 및 에이전트(130) 설치를 수행한다.The
공격자 단말기(110)는 공격대상설정(예컨대, dev.a.com)을 위한 제어 명령을 공격 서버(120)로 전송한다. 공격자 단말기(110)는 공격대상을 공격(SQL Injection (확장 프로시저))하는 제어 명령을 공격 서버(120)로 전송한다. 공격자 단말기(110)는 공격대상으로 Win 바이너리 및 실행하는 에이전트(130)를 배포되도록 하는 제어 명령을 공격 서버(120)로 전송한다. The
공격 서버(120)는 공격대상인 [dev.a.com]에 대해 SQL Injection을 수행하여 xp_cmdshell 확장프로시저, 웹쉘 생성 또는 명령어 실행, 서버 권한 확인, 에이전트(130) 설치를 진행한다. 공격대상에 설치된 에이전트(130)는 공격 서버(120)로부터 공격대상에 다운로드되어, 에이전트를 실행하고 리버스 커넥션을 수행한다. 에이전트(130)는 퍼시스턴스(Persistence) 기능을 수행하고, 공격 서버(120)와 터널링을 구성한다.The
도 7은 본 실시예에 따른 권한 상승 단계를 설명하기 위한 도면이다.7 is a view for explaining an authority elevation step according to the present embodiment.
공격자 단말기(110)는 공격 서버(120)로 공격명령을 전송한다. 공격 서버(120)는 공격대상으로 Reverse Connection 및 에이전트(130)(A1) 설치 후, 권한 상승을 위한 공격을 수행한다.The
공격자 단말기(110)는 공격대상설정(예컨대, 에이전트1(A1))을 위한 제어 명령을 공격 서버(120)로 전송한다. 공격자 단말기(110)는 공격대상에 대한 권한상승(서버 내 정보수집, 무차별 대입 공격(Brute-Force), 키-로거(Key-Logger) 실행)하도록 하는 제어 명령을 공격 서버(120)로 전송한다. The
공격 서버(120)는 공격대상에 설치된 에이전트1(A1)로부터 정보를 수집한다. The
에이전트1(A1)은 정보 수집을 위해 명령어를 이용하여 설치된 공격대상의 계정을 확인한다. 에이전트1(A1)은 웹 소스, 각종 설정파일, 일반 텍스트 파일 등에 저장된 계정정보를 탐색한다. 에이전트1(A1)은 로컬 권한상승 취약점 공격(CVE)을 수행한다.Agent 1 (A1) verifies the account of the installed attack target by using a command to collect information. Agent 1 (A1) searches for account information stored in web sources, various setting files, and plain text files. Agent 1 (A1) performs a local privilege escalation vulnerability attack (CVE).
에이전트1(A1)은 무차별 대입 공격(Brute-Force)을 위해 유추하기 쉬운 계정에 대한 무작위 대입공격을 수행한다. 에이전트1(A1)은 키로거(Key-Logger)에 의한 계정 정보를 수집하고, 주기적으로 모니터링한다.Agent 1 (A1) performs a brute force attack on an account that is easy to infer for a brute-force attack. Agent 1 (A1) collects account information by a key-logger and monitors it periodically.
도 8은 본 실시예에 따른 내부정찰 단계를 설명하기 위한 도면이다.8 is a view for explaining the internal reconnaissance step according to the present embodiment.
공격자 단말기(110)는 공격 서버(120)로 공격명령을 전송한다. 공격 서버(120)는 공격대상으로 에이전트1(A1)에 공격명령 전달 후, 내부 정찰을 통한 에이전트2(A2)로 지속적 확산(전이) 공격을 수행한다.The
공격자 단말기(110)는 공격대상설정(예컨대, 에이전트1(A1))을 위한 제어 명령을 공격 서버(120)로 전송한다. 공격자 단말기(110)는 공격대상(에이전트1(A1))에 대한 내부정찰(중요정보 수집/탈취, 전이공격 준비)하도록 하는 제어 명령을 공격 서버(120)로 전송한다. 공격자 단말기(110)는 공격대상(에이전트1(A1))에 대한 정보수집(내부 네트워크 정찰, 서비스 식별)하도록 하는 제어 명령을 공격 서버(120)로 전송한다. The
공격 서버(120)는 공격대상인 에이전트1(A1)로부터 내부정보를 수집한다. The
에이전트1은 내부정보 수집을 위해 설치된 공격대상(서버 또는 단말기) 내 중요정보(계정, 설정, 대외비 정보 등)를 탐색한다. 에이전트1(A1)은 내부 망 네트워크를 스캔한다.
공격 서버(120)는 공격대상인 에이전트1(A1)로 확산(전이공격)을 수행한다. 에이전트1(A1)은 확산(전이공격)을 위해 획득된 내부 정보를 통한 지속적 확산(전이공격)을 수행한다. 에이전트1(A1)은 공격 성공 시, 추가 에이전트를 설치한다.The
도 9a,9b는 본 실시예에 따른 목적달성 단계를 설명하기 위한 도면이다.9A and 9B are diagrams for explaining the step of achieving an object according to the present embodiment.
공격자 단말기(110)는 공격 서버(120)로 공격명령을 전송한다. 공격 서버(120)는 공격대상으로 에이전트1(A1), 에이전트2(A2)에 공격명령 전달 후 목적달성(중요정보 탈취 및 흔적 제거 등)을 수행한다.The
공격자 단말기(110)는 공격대상설정(에이전트1(A1), 에이전트2(A2))을 위한 제어 명령을 공격 서버(120)로 전송한다. 공격자 단말기(110)는 공격대상에 대한 중요정보 탈취, 흔적을 제거하도록 하는 제어 명령을 공격 서버(120)로 전송한다. The
공격 서버(120)는 공격대상인 에이전트1(A1), 에이전트2(A2)로부터 중요정보를 탈취한다. 에이전트1(A1), 에이전트2(A2)는 중요정보 탈취를 위해 설치된 각각의 공격대상(서버 또는 단말기)의 중요데이터 파일을 암호화한다. 에이전트1(A1), 에이전트2(A2)는 은닉채널 또는 암호화 통신을 이용하여 중요데이터 파일을 외부로 유출한다.The
공격 서버(120)는 공격대상인 에이전트1(A1), 에이전트2(A2)에서 흔적을 제거한다. 에이전트1(A1), 에이전트2(A2)는 흔적 제거를 위해 각각의 공격대상(서버 또는 단말기)의 로그인 흔적 제거, 이벤트 로그 제거, 공격에 사용한 모듈 제거, 에이전트 자가삭제를 수행한다.The
도 9b에 도시된 바와 같이, 에이전트(130)는 설치된 공격대상(서버 또는 단말기)에 침투 후 화면캡쳐를 수행한다.As shown in Figure 9b, the
공격자 단말기(110)는 공격대상설정(에이전트1(A1), 에이전트2(A2))을 위한 제어 명령을 공격 서버(120)로 전송한다. 공격자 단말기(110)는 공격대상에 대한 화면을 캡쳐하도록 하는 제어 명령을 공격 서버(120)로 전송한다. The
공격 서버(120)는 에이전트(130)로 주요정보 탈취, 흔적제거에 대한 화면을 캡쳐(PNG 형식, 100% 배율)하도록 하는 제어 명령을 전송한다. 에이전트(130)(A1,A2)는 공격 서버(120)로 수행 결과, 캡쳐된 파일을 전송한다. 이후 에이전트(130)(A1,A2)는 흔적제거를 위해 전송한 파일을 삭제한다.The
이상의 설명은 본 실시예의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 실시예의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 실시예들은 본 실시예의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 실시예의 기술 사상의 범위가 한정되는 것은 아니다. 본 실시예의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 실시예의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely illustrative of the technical idea of this embodiment, and various modifications and variations will be possible without departing from the essential characteristics of the present embodiment by those skilled in the art to which this embodiment belongs. Accordingly, the present embodiments are intended to explain rather than limit the technical spirit of the present embodiment, and the scope of the technical spirit of the present embodiment is not limited by these embodiments. The protection scope of this embodiment should be interpreted by the following claims, and all technical ideas within the scope equivalent thereto should be interpreted as being included in the scope of the present embodiment.
110: 공격자 단말기
120: 공격 서버
130: 에이전트110: attacker terminal
120: attack server
130: agent
Claims (7)
상기 내부 정보를 기초로 접근 가능 경로를 파악하는 최초 침투 과정;
상기 공격대상에 설치된 에이전트를 실행하도록 하는 거점확보 과정;
상기 에이전트와 연결 가능한 것으로 확인되면, 상기 공격대상으로 접근하는 권한 상승을 확인하는 권한상승 과정;
상기 에이전트로 상기 공격명령을 전송한 후 상기 공격명령에 따라 상기 에이전트가 설치된 공격대상이 무력화될 때, 상기 에이전트로 주요정보 수집명령을 전송하며, 상기 에이전트로부터 상기 주요정보 수집명령에 대응하는 주요정보를 수집하는 내부정찰 과정; 및
상기 주요정보를 외부로 탈취하고, 상기 에이전트를 이용하여 중요정보 탈취 흔적을 제거하도록 하는 목적달성 과정
을 포함하는 것을 특징으로 하는 사이버 공격 시뮬레이션 제공 방법.a pre-infiltration information collection process of selecting an attack target from an external network based on a control command received from the attacker terminal and collecting internal information about the attack target;
an initial penetration process of identifying an accessible path based on the inside information;
a process of securing a base to execute the agent installed in the attack target;
When it is confirmed that the connection with the agent is possible, an authority elevation process of confirming the elevation of the authority to access the attack target;
After transmitting the attack command to the agent, when the attack target installed with the agent is ineffective according to the attack command, a main information collection command is transmitted to the agent, and the main information corresponding to the main information collection command from the agent an internal reconnaissance process to collect; and
The process of achieving the purpose of stealing the main information to the outside and removing the traces of the stealing of the important information by using the agent
Cyber attack simulation providing method comprising a.
상기 침투전 정보 수집 과정은
상기 외부망에서 상기 공격대상에 대해 OSINT(Open Source INTelligence), 크롤링(Crawling), 다크웹(DarkWeb)을 기반으로 외부에 공개된 정보를 상기 내부 정보로 수집하는 과정; 및
상기 외부망에서 상기 공격대상에 대해 스캔한 정보를 상기 내부 정보로 수집하는 과정
을 포함하는 것을 특징으로 하는 사이버 공격 시뮬레이션 제공 방법.According to claim 1,
The pre-infiltration information collection process is
a process of collecting externally disclosed information as the internal information based on OSINT (Open Source Intelligence), crawling, and dark web for the attack target in the external network; and
The process of collecting information scanned on the attack target from the external network as the internal information
Cyber attack simulation providing method comprising a.
상기 최초 침투 과정은,
상기 내부 정보를 기반으로 상기 공격대상에 대한 취약점을 파악하고, 상기 취약점을 기반으로 상기 공격대상에 접근 가능한 것으로 확인되면, 상기 취약점에 대한 익스플로잇 공격(Exploit)을 수행하는 과정;
상기 취약점을 기반으로 상기 공격대상에 접근이 불가한 것으로 확인되면, 제1 보안 우회로 상기 공격대상에 접근하는 과정;
상기 제1 보안 우회로 상기 공격대상에 접근이 불가한 것으로 확인되면, 상기 공격대상에 일반 경로로 접근하는 과정; 및
상기 일반 경로로 상기 공격대상에 접근 불가한 것으로 확인되면, 기타 경로로 악성 코드 공격을 수행하는 과정;
을 포함하는 것을 특징으로 하는 사이버 공격 시뮬레이션 제공 방법.3. The method of claim 2,
The first penetration process is
identifying a vulnerability for the attack target based on the internal information, and performing an exploit attack on the vulnerability when it is confirmed that the attack target can be accessed based on the vulnerability;
if it is confirmed that access to the target is not possible based on the vulnerability, accessing the target by a first security bypass;
If it is confirmed that access to the attack target by the first security bypass is impossible, accessing the attack target through a general path; and
performing a malicious code attack through another path when it is confirmed that the attack target cannot be accessed through the general path;
Cyber attack simulation providing method comprising a.
상기 거점확보 과정은
상기 취약점에 대한 익스플로잇 공격이 성공하거나 상기 제1 보안 우회로 상기 공격대상에 접근하거나 상기 일반 경로로 상기 공격대상에 접근하거나 상기 악성 코드 공격이 성공하는 경우, 상기 공격대상에 설치된 상기 에이전트로 연결이 가능한지의 여부를 확인하고, 확인 결과 상기 에이전트로 연결이 가능한 것으로 확인되면, 상기 에이전트로 상기 실행 명령을 전송하는 과정; 및
확인 결과 상기 에이전트로 연결이 불가한 것으로 확인되면, 제2 보안 우회로 상기 에이전트로 상기 실행 명령을 전송하는 과정;
을 포함하는 것을 특징으로 하는 사이버 공격 시뮬레이션 제공 방법.4. The method of claim 3,
The process of securing the base
If the exploit attack for the vulnerability succeeds, the first security bypass approaches the attack target, the general path approaches the attack target, or the malicious code attack succeeds, whether it is possible to connect to the agent installed in the attack target sending the execution command to the agent when it is confirmed that the connection to the agent is possible as a result of the check; and
transmitting the execution command to the agent by a second security bypass when it is confirmed that connection to the agent is impossible;
Cyber attack simulation providing method comprising a.
상기 내부정찰 과정은,
상기 공격대상으로 접근하는 권한 상승이 확인되면, 상기 공격대상에 대해 관리자(Admin) 권한 단위 공격을 수행하는 과정;
상기 공격대상으로 접근하는 권한 상승이 미확인되면, 사용자(User) 권한 단위 공격을 수행하는 과정;
상기 제2 보안 우회로 상기 에이전트로 상기 실행 명령이 미전송되거나 상기 일반 경로로 악성 코드 공격이 가능한 경우, 악성코드 기반으로 호스트 레벨을 단위 공격을 수행하는 과정;
상기 공격대상에 대해 스캔이 불가하거나 상기 기타 경로로 접근이 불가하거나 상기 일반 경로로 악성 코드 공격이 불가한 경우, 서드파티 프로그램을 이용하여 기타 공격을 수행하는 과정;
을 포함하는 것을 특징으로 하는 사이버 공격 시뮬레이션 제공 방법.5. The method of claim 4,
The internal reconnaissance process is
When it is confirmed that the access to the attack target is elevated, performing an Admin permission unit attack on the attack target;
If the elevation of access to the attack target is not confirmed, the process of performing a user permission unit attack;
performing a host-level unit attack based on malicious code when the execution command is not transmitted to the agent by the second security bypass or a malicious code attack is possible through the general path;
performing another attack using a third-party program when scanning is not possible for the attack target, access is not possible through the other path, or a malicious code attack is not possible through the general path;
Cyber attack simulation providing method comprising a.
상기 내부정찰 과정은,
상기 관리자 권한 단위 공격, 상기 사용자 권한 단위 공격, 상기 호스트 레벨을 단위 공격, 상기 기타 공격이 성공하여 상기 에이전트가 설치된 공격대상이 무력화될 때, 상기 에이전트로 주요정보 수집명령을 전송하는 것을 특징으로 하는 사이버 공격 시뮬레이션 제공 방법.6. The method of claim 5,
The internal reconnaissance process is
When the attack target in which the agent is installed is incapacitated due to the success of the manager-rights unit attack, the user-privileged unit attack, the host level unit attack, and the other attacks, a command to collect key information is transmitted to the agent How to provide cyberattack simulation.
상기 목적달성 과정은,
상기 에이전트가 상기 주요 정보를 수집한 후 상기 에이전트가 설치된 공격대상에 대해 로그(Log) 삭제, 프로세스 생성, 백도어(Backdoor), 키로거(Key-Logger), MBR(Master Boot Record) 파괴, 캡쳐, 압축 중 적어도 하나 이상을 수행하도록 하는 것을 특징으로 하는 사이버 공격 시뮬레이션 제공 방법.7. The method of claim 6,
The process of achieving the above purpose is
After the agent collects the main information, deletes logs, creates processes, destroys backdoors, key-loggers, and MBR (Master Boot Record) for the attack target installed with the agent, captures, compresses Cyber attack simulation providing method, characterized in that to perform at least one or more of.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020200114537A KR102401154B1 (en) | 2020-09-08 | 2020-09-08 | Method And System for Providing Cyber Attack Simulation |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020200114537A KR102401154B1 (en) | 2020-09-08 | 2020-09-08 | Method And System for Providing Cyber Attack Simulation |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20220032788A true KR20220032788A (en) | 2022-03-15 |
KR102401154B1 KR102401154B1 (en) | 2022-05-24 |
Family
ID=80816601
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020200114537A KR102401154B1 (en) | 2020-09-08 | 2020-09-08 | Method And System for Providing Cyber Attack Simulation |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102401154B1 (en) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20080072770A (en) * | 2007-01-31 | 2008-08-07 | 성균관대학교산학협력단 | Cyber attack system for vulnerability assessment and method thereof |
KR20200055563A (en) * | 2018-11-13 | 2020-05-21 | 국방과학연구소 | Multi-Level Scenario Authoring Method for Threat in Cyber Training Environment |
-
2020
- 2020-09-08 KR KR1020200114537A patent/KR102401154B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20080072770A (en) * | 2007-01-31 | 2008-08-07 | 성균관대학교산학협력단 | Cyber attack system for vulnerability assessment and method thereof |
KR20200055563A (en) * | 2018-11-13 | 2020-05-21 | 국방과학연구소 | Multi-Level Scenario Authoring Method for Threat in Cyber Training Environment |
Also Published As
Publication number | Publication date |
---|---|
KR102401154B1 (en) | 2022-05-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Antonakakis et al. | Understanding the mirai botnet | |
Panchal et al. | Security issues in IIoT: A comprehensive survey of attacks on IIoT and its countermeasures | |
Jiang et al. | An experimental analysis of security vulnerabilities in industrial IoT devices | |
US10560434B2 (en) | Automated honeypot provisioning system | |
US9742805B2 (en) | Managing dynamic deceptive environments | |
EP3965364A1 (en) | Hierarchical risk assessment and remediation of threats in mobile networking environment | |
Dorsemaine et al. | A new approach to investigate IoT threats based on a four layer model | |
Gupta et al. | Taxonomy of cloud security | |
Wong et al. | On the security of containers: Threat modeling, attack analysis, and mitigation strategies | |
Yamada et al. | RAT-based malicious activities detection on enterprise internal networks | |
Aboelfotoh et al. | A review of cyber-security measuring and assessment methods for modern enterprises | |
KR20200011702A (en) | Apparatus and method for diagnosing network security system | |
Tabari et al. | What are Attackers after on IoT Devices? An approach based on a multi-phased multi-faceted IoT honeypot ecosystem and data clustering | |
Yagi et al. | Investigation and analysis of malware on websites | |
KR102401154B1 (en) | Method And System for Providing Cyber Attack Simulation | |
Arreaga et al. | Security Vulnerability Analysis for IoT Devices Raspberry Pi using PENTEST | |
Bansal et al. | Analysis and Detection of various DDoS attacks on Internet of Things Network | |
Majithia | Honey-system: design, implementation & attack analysis | |
Chen et al. | A proactive approach to intrusion detection and malware collection | |
Li et al. | Employing edge computing to enhance self-defense capabilities of IoT devices | |
Ye et al. | High-risk problem of penetration testing of power grid rainstorm disaster artificial intelligence prediction system and its countermeasures | |
Holm et al. | A manual for the cyber security modeling language | |
Mayorga et al. | Honeypot network configuration through cyberattack patterns | |
Wang | The observation of smart camera security | |
Choi et al. | Cookies and Sessions: A Study of what they are, how they can be Stolen and a Discussion on Security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E90F | Notification of reason for final refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |